运维开发实践 - Kubernetes - 用户权限管控

1.背景

当我们有一个k8s 集群,并且需要将该集群提供给用户使用的时候,我们当然只希望用户只能操作我们预先定义好的资源,即权限管控,RBAC

2. 介绍

Kubernetes中有2种权限管控,一种是为Pod中的应用提供权限管理;另一种是为用户提供权限管理;kubernetes内部使用RBAC这一套鉴权机制;

2.1.实现

shell 复制代码
openssl genrsa -out liyuan.key 2048
openssl req -new -key liyuan.key -out liyuan.csr -subj "/CN=liyuan"
# 登录集群主节点查看该目录下的证书,基于kubernetes证书签发新证书
openssl x509 -req -in liyuan.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out liyuan.crt -days 365
openssl x509 -in liyuan.crt -text -noout

# 创建用户liyuan,并未该用户绑定上述生成的证书
kubectl config set-credentials liyuan --client-certificate=./sa/liyuan.crt --client-key=./sa/liyuan.key 

# 设置当前上下文
# --namespace=default表示用户使用kubectl无需主动指定namespace, kubectl get po 会默认获取kube-system namespace下Pod资源
# --user=liyuan 别名
kubectl config set-context liyuan --cluster=kubernetes --namespace=default --user=liyuan
kubectl config use-context liyuan
kubectl config get-contexts

2.2. Role & RoleBinding(namespace层面资源权限管理)

  • Role 用户设置某个命名空间内的资源权限,必须和namespace绑定
  • RoleBinding用于绑定账户和Role
yaml 复制代码
# role-user.yaml
# 为用户liyuan赋予default namespace下获取Pod资源的权限
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: role-liyuan
rules:
  - apiGroups: [""] # "" 标明 core API 组
    resources: ["pods", "pods/log"]
    verbs: ["get", "watch", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: rolebinding-liyuan
subjects:
  - kind: User
    name: liyuan
    apiGroup: rbac.authorization.k8s.io
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: role-liyuan
shell 复制代码
kubectl apply -f role-user.yaml

2.3. ClusterRole & ClusterRoleBinding (集群层面资源权限管理)

shell 复制代码
# clusterrole-user.yaml
# 为用户liyuan赋予获取集群下所有secrets资源的权限
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: clusterrole-liyuan
rules:
  - apiGroups: [ "" ]
    # 在 HTTP 层面,用来访问 Secret 资源的名称为 "secrets"
    resources: [ "secrets" ]
    verbs: [ "get", "watch", "list" ]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: clusterrolebinding-liyuan
subjects:
  - kind: User
    name: liyuan
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: clusterrole-liyuan
  apiGroup: rbac.authorization.k8s.io

3. 参考

yaml 复制代码
# cluster-admin clusterrole
kind: ClusterRole
metadata:
  annotations:
rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: "2023-12-12T13:19:37Z"
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: cluster-admin
  resourceVersion: "77"
  uid: ba8010ec-8a5c-4881-b26b-37fed5dc5c67
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
- nonResourceURLs:
  - '*'
  verbs:
  - '*'
shell 复制代码
# apiGroups: 默认为 *
# resources 
kubectl api-resources
# verbs
"get", "list", "watch", "create", "update", "patch", "delete"]

参考

为 Pod 配置服务账号
k8s之基于用户/用户组授权

相关推荐
焦点链创研究所16 小时前
算力核心机器人将于 7 月 18 日发布
运维·服务器·机器人
Starry-sky(jing)17 小时前
如何判断 Windows 是否安装 Node.js:三种方法 + 常见漏判场景
运维·windows·node.js·环境检测
其实防守也摸鱼18 小时前
运维--ip单日获取去重数据量超过500条
运维·学习·tcp/ip·安全·web安全·安全威胁分析·工具
泰和英杰18 小时前
2026 华为数字能源 + 机房工程实操标准:故障排查、机房建设、设备选型标准化技术方案
运维·服务器·网络
x_x-F18 小时前
深入浅出 Linux 网络核心:sk_buff 的内存与指针流转
linux·运维·网络
腾渊信息科技公司1 天前
工业数据运维痛点根治方案:基于AI Agent的产线自动化台账系统落地
运维·人工智能·自动化·个人开发·ai编程
Dxy12393102161 天前
Proxy Protocol v2 详解
运维
踏月的造梦星球1 天前
DMDPC 学习:架构、部署、运维与调优
运维·数据库·学习·架构
潘正翔1 天前
docker核心概念
linux·运维·服务器·docker·容器·centos·运维开发
renhongxia11 天前
世界模型,是“空中楼阁”还是AGI的“最后一块拼图”?
运维·服务器·数据库·人工智能·算法·agi